Das Angriffszenario, das Token Security aufdeckte, zeigt ein systemisches Problem in der Cloud-Infrastruktur: Kleine Sicherheitsfehler in komplexen Ökosystemen können zu katastrophalen Kompromittierungen führen.
Die Angriffskette begann harmlos – mit der Möglichkeit, eigenen Code in einen Zapier-Code-Block zu schreiben. Diese Funktion ist ein Kernmerkmal von Automatisierungsplattformen: Nutzer sollen eigene Geschäftslogik in Python oder JavaScript implementieren können. Token Security nutzte genau diese Funktion, um zunächst die Sandbox zu erkunden und festzustellen, dass der Code auf AWS Lambda ausgeführt wird.
Im zweiten Schritt entdeckten die Forscher eine kritische Fehlkonfiguration: Eine Rolle mit dem Namen „allow_nothing_role” war übermäßig berechtigt – ein klassischer Naming-Fehler, der offenbar zu falscher Sicherheit führte. Noch problematischer: AWS Lambda löscht Token und Secrets nicht automatisch, sondern behält sie im Speicher, bis der Container recycelt wird. Mit einem Python-Skript konnten die Forscher diese Geheimnisse extrahieren.
Im dritten Schritt gelangten die Sicherheitsforscher zu Zehntausenden Dateien in Zapiers privatem Repository – unter anderem ein NPM-Token zum Veröffentlichen von Paketen, das für alle Pakete gültig war. Die abschließenden zwei Schritte hätten es ermöglicht, bösartigen Code in legitime Zapier-Pakete einzuschleusen und diesen Code an jeden authentifizierten Benutzer zu verteilen.
“Ein Angreifer hätte als der Benutzer innerhalb von Zapier agieren können – Zaps erstellen, Tabellen modifizieren, bestehende Automatisierungen verändern und alle Drittanbieter-Verbindungen des Nutzers missbrauchen können”, erklärte Yair Balilti, Research-Team-Lead bei Token Security.
Die Implikationen sind gravierend: Automatisierungsplattformen fungieren als zentrale Drehscheibe für Unternehmensverbindungen. Ein Kompromiss hätte bedeutet, dass Angreifer Zugriff auf Salesforce, Google Workspace, Microsoft 365 und andere kritische Dienste hätten – jeweils mit den Berechtigungen des getäuschten Nutzers.
Das größere Problem: Fehlende Übersicht über Cloud-Integrations
Token Security warnt, dass 56 Prozent der Unternehmen keine Prozesse zur Nachverfolgung ihrer SaaS-zu-SaaS-Verbindungen haben. Dies ist besonders besorgniserregend, da bereits 2024 die Bedrohungsgruppe UNC6395 Salesforce-Daten durch OAuth-Token-Missbrauch bei einer Third-Party-App (Salesloft Drift) stahl.
Für deutsche Unternehmen empfehlen Experten das Prinzip der minimalen Berechtigung strikt umzusetzen: Automatisierungsplattformen sollten nur mit den absolut notwendigen Scopes arbeiten. Zudem sollten Unternehmen ein Inventar aller Cloud-Integrationen führen und regelmäßig auf Überberechtigungen prüfen – nicht nur zur Sicherheit, sondern auch zur Einhaltung der DSGVO-Anforderungen des BSI.